SITO INTERNET: FONDAMENTALE TENERE SEPARATA INFORMATIVA PRIVACY, INFORMATIVA COOKIE E TERMINI E CONDIZIONI

Sempre in materia di marketing un’altra ingiunzione del Garante (la n. 379 del 10 novembre 2022) ha limitato la possibilità di raccogliere un unico consenso cumulativo per inviare ricevere messaggi promozionali sia con l’ausilio di strumenti automatizzati sia con mezzi di comunicazione tradizionali. 

Passiamo, dunque, ad illustrare i passaggi più rilevanti delle due ingiunzioni, le quali riprendono, con alcune rivisitazioni, l’impianto di provvedimenti del Garante anteriori al Gdpr.

Con la prima ingiunzione il Garante conferma e ribadisce che le Informative sul sito internet devono essere ben distinte e separate. Le informative privacy sono atti che devono essere completi ed analitici e richiedono molte attenzioni formali. Con L’ingiunzione n. 348/2022 si ribadisce che è fondamentale distinguere chiaramente informativa e consensi “privacy” dall’informativa e consensi per i cookies, nonché dall’altra documentazione legale presente sul sito.

Con la prima, nei rapporti con i clienti, si informa su come e perché si trattano i dati nel contesto della fornitura di beni e servizi e della loro promozione commerciale.

Con l’informativa “cookie” si deve descrivere il trattamento effettuato nel contesto della navigazione sul sito internet e riguarda l’eventuale tracciamento delle operazioni nella consultazione delle pagine web. Entrambe le informative non devono essere confuse in unico testo. Inoltre, entrambe devono essere tenute separate dai termini contrattuali di vendita di beni e servizi.

Il Garante aggiunge, poi, che nell’informativa bisogna scrivere solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite, senza, dunque, dilungarsi in descrizioni di attività eventuali e future.

Questo, ovviamente, non esclude di dare conto delle operazioni di trattamento che non hanno avuto ancora inizio. Anzi per definizione l’informativa deve precedere il trattamento.

Quel che è vietato è confondere le idee degli interessati e accumulare frasi su frasi su modalità del trattamento del tutto improprie o magari solo per precauzione, caso mai in futuro si cominciasse a farle.

Bisogna ricordarsi, invece, che l’informativa è di per sé un atto destinato a continui aggiornamenti e, quindi, quando è necessario, potrà essere modificata e integrata.

Per quanto riguarda poi gli eventuali consensi cumulativi, con un vecchio provvedimento (il n. 242 del 15/5/2013) il Garante aveva concesso una semplificazione per i consensi “marketing”. In particolare, nei contatti promozionali è possibile chiedere un consenso indifferenziato con riferimento a diverse modalità di trattamento e cioè per le automatizzate oppure per i contatti telefonici effettuati da operatore umano: se si chiede il consenso per le modalità automatizzate (e-mail, messaggistica, ecc.) questo vale anche per le chiamate con operatore.

Questo vale sempre, anche dopo il Gdpr (diventato operativo nel maggio del 2018), ma bisogna rispettare certe condizioni, che il Garante ricorda nell’ingiunzione n. 379/2022.

L’informativa e la richiesta di consenso devono chiarire i mezzi usati e, quindi, devono elencare tutte le modalità usate. Ma questo non basta. All’interessato deve essere garantita la possibilità di limitare, in maniera facile e gratuita, i contatti a quelli tradizionali. Magari l’interessato non vuole più ricevere comunicazioni di posta elettronica o telefonate con operatore e deve poter scartare l’opzione non gradita.

I dati poi hanno una Durata limitata. Con un altro provvedimento del Garante (del 24 febbraio 2005) era stato disciplinato che i programmi di fidelizzazione della clientela, avessero il termine di 12 mesi di conservazione dei dati per finalità di marketing e di 24 mesi per finalità di profilazione. Avendo in mente questo precedente, il Garante (ingiunzione n. 348/2022) ha imposto a un operatore economico la cancellazione di dati di clienti risalenti a oltre 10 anni prima. Inoltre ha imposto di cancellare o di pseudonimizzare quelli conservati da meno di 10 anni e, nel caso di pseudonomizzazione, ha obbligato a chiedere il rinnovo del consenso, e a cancellare chi non lo fa. Se ne deduce che l’operatore economico deve prendere in considerazione i termini previsti dal provvedimento del 2005 e, per discostarsene, deve giustificare con una valutazione di impatto privacy i termini eventualmente più lunghi.

Fino a revoca. Sempre sui termini, il Garante impone di non eludere la normativa. Anche quando si prevede il consenso al marketing e/o alla profilazione valido fino a revoca/opposizione, l’operatore economico deve provvedere a una conservazione selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti. Ciò dovrebbe fare, a prescindere dalla revoca del consenso o da richieste provenienti dall’interessato.

In effetti si tratta di istituti differenti: la revoca del consenso riguarda le condizioni di liceità del trattamento, mentre la limitazione della conservazione riguarda un principio del trattamento stesso.